私は次のようなシンプルな設定をしています:
サーバー ---- インターネット ---- クライアント
SERVER では、CLIENT の証明書を使用して OpenVPN をすでにセットアップしています。CLIENT では、キーを使用してサーバーに接続するように OpenVPN をすでにセットアップしており、正常に動作しています。
ここで、異なる設定 (たとえば、最初の接続が TCP で、もう 1 つが UDP であるとします) で、サーバーとクライアントの間に別の OpenVPN 接続を設定したいと思います。
このシナリオでは、最初の接続の証明書/キーを 2 番目の接続の構成で再利用できますか?
これは良い習慣でしょうか? その理由は? 知っておくべき注意点はありますか?
答え1
もちろん、再利用できます。クライアントが同じマシン/ユーザーである場合は、それが望ましいと思います。また、OpenVPN 構成ディレクティブ duplicate-cn を使用することもできます。これは、同じ証明書を持つ複数のクライアントを受け入れるように OpenVPN デーモンに指示します。
いいえ、それは良い習慣ではありません。
- 1つの証明書が侵害されると、ネットワークの多くのポイントでセキュリティが失われる可能性があるため、
- OpenVPN で多くの便利な機能を実現するには、SSL 証明書の CN フィールドを使用できます。このフィールドは、すべてのクライアントに対して一意である必要があります。たとえば、CN <-> OpenVPN IP アドレスの関連付け、各クライアントの ccd 構成ディレクトリ (クライアントごとに異なる構成) などです。
ただし、小規模なネットワークや一部の構成では受け入れられる可能性があります。